セキュリティ アーキテクチャ モデル
- 更新日 2021/10/09
セキュリティ アーキテクチャ モデル
Automation Anywhere Cognitive のセキュリティ アーキテクチャは、7 つの NIST コントロール ファミリーに実装された 41 の技術制御を備えた、最小権限の原則と厳しい役割分担モデルに基づいています。
NIST フレームワークは、全体に実装されている制御を列挙する方法のベストプラクティスの基盤に選出されました。NIST から他の制御フレームワークへの転換はいろいろな場所で入手可能であり、このトピックの最後にもリソースが提供されています。
製品セキュリティ アーキテクチャは、Automation Anywhere の製品管理チームによって維持され、Automation Anywhere 開発ロードマップの不可欠な部分として正式なポリシー モデルの一部を形成しています。次の表に、コントロール ファミリーと対応する機能およびセキュリティへの影響を示します。各コントロール ファミリーの詳細と、Automation Anywhere 製品にセキュリティ アーキテクチャを実装する方法については、対応するトピックを示します。
| コントロール ファミリー | コントロール コード | Control Room 機能 | セキュリティへの影響 |
|---|---|---|---|
| アクセス制御 | AC-3、6、7、9、10、12 | 一元的なポリシー管理 | 変更管理のアクセス制限とシステム コンポーネントに対する最小権限を強制する:
|
| AC-2、3、5、6 | ロール ベースのアクセス制御 (RBAC) | ユーザー アクセスの有効化、操作権限の制限、最小権限の原則の適用 | |
| AC-17 | Bot リポジトリ | アクセス制限のある Bot バージョン管理システム | |
| AC-3、7、9、10、11 | Bot と Bot Runner の暗号化 | 資格情報 Vault およびキー管理システムとの統合による Bot レベルでの機密情報の暗号化および難読化 | |
| 構成 (変更) 管理 | CM-2、5、6、7、9 | 一元的な Bot Runner のコントロール | ロール、ドメイン、すべて拒否の実行、例外による許可に基づいて機能を制限する |
| CM-10 | 一元的なライセンス管理 | Bot Creator と Bot Runner のライセンスのプロビジョニング、追跡、および実施を一元化する | |
| CM-2、5、6、8 | Bot オペレーション ルーム | ||
| CM-8 | インベントリ管理 | すべての Bot および実行時間の一元管理されたインベントリ管理を維持 | |
| Bot Creator の構成管理 | SA-10 | Bot Creator の管理、Bot のチェックイン、チェックアウト | Control Room は、管理から、テスト、本番環境に至るまで、ソフトウェア ライフサイクル管理を Bot に適用します。Bot バージョンは、オートメーションの変更管理を可能にします。 |
| 監査と説明責任 | AU-1 ~ 15 | 監査記録 | 3 つのレベルでキャプチャされた自動イベント ログ: Control Room、Bot Runner、Bot Creator。否認防止は読み取り専用ログによって保証され、すべてのユーザー ID はアクションにバインドされます。 |
| 識別と認証 | IA-1 ~ 5 | Active Directory の統合、Bot Runner ID、および構成証明 | 暗号化双方向認証、Bot Runner の識別および構成証明、パスワード管理ポリシーを含む、Windows プラットフォームのセキュリティを実行します。キー管理システムとの統合機能を備えた資格情報 Vault は、資格情報の完全性を保護します。 |
| インシデント レスポンス | IR-4、6 | インシデント レスポンス | Bot Insight が組み込まれたアナリティクス機能により、イベントを監視し、SIEM システムにアラートを生成して対応できます。 |
| 管理されたメンテナンス | MA-2 | 自動メンテナンス | Control Room バージョン管理システムは、Bot への更新をロールアウトする自動メカニズムを提供し、履歴情報は維持されます。 |
(1) リソース: ISACA は、CoBIT (SOX)、SANS Top20 などの他のセキュリティ フレームワークに NIST SP800-53 をマッピングするガイドを提供します。